برخلاف انتظار یک برنامه ofType همه چیز در مورد افشای اطلاعات شخصی مربوط به افرادی که به طور قرار داده شده در حال دیدار هم هستید، ironik است که TeaOnHer اطلاعات شخصی هزاران کاربر خود را در มห filib وب افشا کرد.
TeaOnHer diseñ شده بود تا مردان能够 اطلاعات و عکس های مربوط به زنان را که ادعا می کنند در حال دیدار با آنها هستند، به اشتراک بگذارند. اما شبیه به Tea، برنامه گپ dating برای زنان که سعی می کرد复制 کند، TeaOnHer نیز دارای اشکالات امنیتی عمده ای بود که اطلاعات شخصی کاربران، از جمله عکس های گواهینامه رانندگی و سایر مدارک هویت صادر شده توسط دولت، را افشا کرد، همانطور که TechCrunch گزارش داد هفته گذشته.
این برنامه های اجتماع مانند برنامه های دارایTho مجتمع-created شدند تا کاربران能够 اطلاعات مربوط به روابط خود را تحت پوشش ایمنی شخصی به اشتراک بگذارند. با این حال، کدنویسی ضعیف و اشکالات امنیتی نشان می دهد که خطرات حریم خصوصی در حال افزایش است که هنگام استفاده از برنامه ها و وب سایت ها، کاربران باید اطلاعات حساس را 제출 کنند.
این خطرات فقط بدتر خواهند شد؛ برنامه های محبوب و خدمات وب در حال حاضر باید با مقررات تایید سن مطابقت داشته باشند که आवश-
ريط است người submissive مدارک هویت خود را قبل از دسترسی به محتوای تماشای grown์เพRU submits.
当 TechCrunch مقاله ما را هفته گذشته منتشر کرد، ما جزئیات خاصی از باگ هایی که در TeaOnHer پیدا کردیم، منتشر نکردیم، زیرا نمی خواستیم به کاربران بد اجازه دهیم که از این باگ استفاده کنند. به جای آن، ما Publish کردیم، زیرا برنامه در حال افزایش محبوبیت بود و کاربران در معرض خطر بودند.
در thời gian افشاگری، TeaOnHer در رتبه دوم برنامه های رایگان در فروشگاه برنامه های اپل قرار داشت، و این جایگاه هنوز هم توسط برنامه حفظ می شود.
اشکالاتی که پیدا کردیم،似乎 $(‘#’ bugs را حل کرده است. TechCrunch می تواند حالا توضیح دهد که چگونه ما能够 گواهینامه رانندگی کاربران را در عرض 10 دقیقه پس از ارسال لینک برنامه در App Store پیدا کردیم، به لطف خطاهای آسان قابل یافت در سیستم public_-_backend برنامه یا API.
developer برنامه، Xavier Lampkin، نمی محدود به درخواست های ما برای نظر دادن بعد از اینکه ما جزئیات اشکالات امنیتی را برای او ارسال کردیم، و او نمی خواست که کاربران TeaOnHer را در مورد این نقص امنیتی مطلع کند.
ما همچنین از Lampkin پرسیدیم که آیا هر گونه بررسی امنیتی قبل از 출시 برنامه TeaOnHer انجام شده است، اما او جوابی نداد.
TeaOnHerExposed ‘
credentials”
قبل از آنکه برنامه را دانلود کنیم، ما ابتدا می خواستیم بدانیم که TeaOnHer در کجا در اینترنت میزبان است، با بررسی زیرساخت های عمومی، seperti وب سایت و هر cosa else در دامنه آن.
این обычно یک جای خوب برای شروع است، زیرا به ما کمک می کند تا بفهمیم که دامنه به چه سرویس هایی در اینترنت متصل است.
برای پیدا کردن نام دامنه، ما ابتدا به لیست برنامه در App Store اپل رفتیم تا وب سایت برنامه را پیدا کنیم. این معمولاً در política سیاست حفظ حریم خصوصی برنامه، که برنامه ها باید قبل از اینکه اپل آنها را لیست کند، وجود دارد.
سیاست حفظ حریم خصوصی TeaOnHer در forma یک سند گوگل منتشر شده بود، که شامل یک آدرس ایمیل با دامنه teaonher.com بود، اما نه وب سایتی.
وب سایت در آن زمان عمومی نبود، بنابراینWITHOUT وب سایتی، ما به رکوردهای DNS عمومی دامنه نگاه کردیم، که میتواند به ما کمک کند تا بفهمیم که چه چیز دیگری در دامنه میزبان است، مانند نوع سرورهای ایمیل یا هاستینگ.
اما WHEN ما به رکوردهای اینترنت عمومی TeaOnHer نگاه کردیم، هیچ اطلاعاتی مفید ngoài یک زیر دامنه appserver.teaonher.com نداشت.
WHEN ما این صفحه را در مرورگر خود باز کردیم، آنچه بارگیری شد، صفحه فرود API TeaOnHer بود (برای حفاظت از ما، ما یک کپی را اینجا بارگیری کردیم).
API صرفاً به معنای ارتباط دادن چیزهایی در اینترنت با یکدیگر است، مانند اتصال برنامه به پایگاه داده مرکزی.
در این صفحه فرود، ما نشانی ایمیل و گذرواژه plain text (که اندکی متفاوت از “گذرواژه” بود) برای حساب Lampkin برای دسترسی به پنل “admin” TeaOnHer پیدا کردیم.
صفحه API نشان داد که پنل admin، برای سیستم تأیید مدارک و مدیریت کاربر، در “localhost” قرار داشت، که به معنای رایانه فیزیکی است که سرور را اجرا می کند و ممکن است قابل دسترسی مستقیم از اینترنت نباشد.
در این نقطه، ما تنها حدود دو دقیقه بودیم.
TeaOnHer API allowed unauthenticated access to user data
این صفحه فرود API شامل یک endpoint به نام /docs بود، که شامل اسناد auto-generated API بود (با استفاده از یک محصول به نام Swagger UI) که شامل لیست کامل 명령اتی بود که می توان در API انجام داد.
این صفحه докум